Úvod
V tomto tutoriálu si projdeme základní způsob přenosu vašeho SSL z jednoho serveru CentOS 6 x86_64 se systémem Tomcat na jiný server CentOS 6 x86_64 se systémem Tomcat. Toto bylo testováno na Java 6 a Tomcat 6, stejně jako Java 8 a Tomcat 8. Pro usnadnění tohoto kurzu bude původní server s SSL Server A. Nový server, na který převádíme, bude Server B .
Předpoklady
Budete potřebovat dva servery s nainstalovaným CentOS 6 x86_64 a oba servery musí mít nainstalovanou Javu a Tomcat. Jeden ze serverů musí mít již nainstalované SSL. Pokud nemáte nový server CentOS, můžete získat virtuální privátní server od Atlantic.Net.
Přenos SSL Tomcat na Tomcat v systému CentOS
Nejjednodušší způsob, jak přenést váš certifikát mezi servery, je vytvořit z něj soubor pkcs12. Za předpokladu, že máte .pem svého certifikátu, to může být docela snadné. Pokud nemáte .pem, budete si ho muset vytvořit. K tomu se můžete podívat na stránku Vytváření pem pro vaši SSL.
Soubor klíče, který jste původně vygenerovali pro SSL, můžete zkopírovat do samostatného souboru key.pem, pokud se již nejedná o soubor .pem. V našem příkladu jsme to udělali a také jsme odstranili heslo pro klíč. Chcete-li to provést, můžete se podívat na stránku Jak odstranit heslo z klíče SSL.
Nyní jsme připraveni exportovat SSL do souboru .pkcs12. Chcete-li to provést, na serveru A stačí spustit:
openssl pkcs12 –export –name NAME –in certificate.pem –inkey key.pem –out keystore.p12
Keystore.p12 vás požádá o heslo. Použijte prosím bezpečné heslo, které si zapamatujete. Pro NAME budete chtít použít jméno, které nezapomenete. Nejlepší by bylo používat název vaší domény bez .tld (takže ne .com, .org atd.). Certificate.pem by byl soubor SSL .pem, který máte nebo jste právě vytvořili. Key.pem by byl váš klíč SSL ve formátu .pem a keystore.p12 je to, co budeme přenášet na nový server. Všechny tyto soubory můžete pojmenovat, jak chcete. Jen se ujistěte, že je sledujete.
Keystore.p12 můžete přenést na Server B jakýmkoli způsobem, který chcete. V našem příkladu používáme rsync.
rsync keystore.p12 [email protected]_of_Server_B:/directory/to/copy/to
Po zkopírování můžete soubor keystore.p12 přesunout do svého adresáře SSL serveru B, pokud jste jej tam nezkopírovali. Nyní budeme chtít načíst keystore.p12 pomocí Java's keytool na Server B.
/path/to/java/keytool –importkeystore –destkeystore /path/to/ssl/directory/keystore.jks –srckeystore /path/to/ssl/directory/keystore.p12 –srcstoretype pkcs12 –alias NAME
Měl by vás vyzvat k zadání nového hesla pro úložiště klíčů (můžete použít stejné heslo nebo vytvořit nové) a hesla, které jste vytvořili pro úložiště klíčů.p12. NAME by mělo být stejné NAME, jaké jste použili při generování keystore.p12.
Jakmile je toto úložiště klíčů vytvořeno, těžká práce je hotová. Chcete-li to dokončit, musíte upravit soubor Tomcat server.xml na serveru B tak, aby používal tento keystore.jks a přístupovou frázi, a můžete začít.
Uvnitř Tomcat server.xml budete chtít najít sekci s:“
keystoreFile=”/path/to/keystore.jks” keystorePass="PASSWORD"
Kde keystore.jks je keystore.jks, které jsme vytvořili, a PASSWORD je heslo, které jste vytvořili pro úložiště klíčů. Po přidání můžete Tomcat restartovat a vaše SSL se bude používat pro Tomcat.
Příklad konfigurace kocoura s novým SSL
Aby bylo možné používat 8443, budete potřebovat další konfiguraci, ale SSL bude přeneseno, a pokud se přihlásíte do svého správce pro Tomcat a zkontrolujete konfiguraci SSL, měli byste vidět, že SSL pro 8443 je povoleno.
Zjistěte více o našich hostingových službách VPS a ceně hostingu VPS.